Outils pour utilisateurs

Outils du site


cr:reunions_diverses:mardi:27_juin:2017

Compte rendu de la réunion de travail du mardi 27 juin 2017

Ça s'est déroulé sur 2 lieux (Shadok et Datacenter cogent)

Projet radio :

Critique du projet de flyers/tract (au Shadok: Amina)

Pour commencer, le projet wifi est avant tout freiné par le manque de communication qui empêche de trouver des lignes de vue et donc des occasions de déployer des antennes. Un flyers est en cours de création et des actions ont été identifiée pour régler ce point (cf vendredi 16). Lors de ce rappel, 2 personnes se sont inscrites sur la https://wifi.arn-fai.net. Amina qu'on avait croisé sur un stand est passée par là. On lui a présenté le texte prévu, elle a indiqué qu'on ne comprenait pas assez que ces antennes radio faisaient passer de l'internet. Elle n'était pas fan du slogan, mais le reste des présents semblait plutôt vouloir le garder.

Réflexion sur les choix techno (au Shadok: Aleks, ljf, Irina, zirst, Amina)

Il n'en reste pas moins qu'il faut choisir la configuration technique, il s'agit donc de la suite de la discussion du Vendredi 16 juin.

Concrètement, 3 schémas possibles ont été dessiné sur le tableau et discutés. À la fin on était à peu près tous d'accord pour choisir le premier. A priori le choix est assez similaire à celui des autres FAI.

Les besoins que doivent couvrir ces choix:

  • facilité de mise en place
  • installation/maintenance réalisable par le plus de membres possibles
  • sécurité du réseau de la personne qui prête sa fibre ou son ADSL/VDSL
  • sécurité du réseau des personnes raccordées
  • débit
  • prix
  • évolutivité (pourra t'on migrer avec une organisation en backbone permettant la redondance de liens?)
  • possibilité de maintenance

Proposition de schéma pour un réseau de quartier [PHOTO]

Chez Camille (cas de la personne qui prête sa connexion) [BOX] - [Routeur du MAN de ce quartier] - [Access Point en L2]

Chez Sam (cas de l'abonné en bout de réseau) [Antennes en L2] - [EQUIPEMENT avec VPN]

Chez Aleks (cas du relais) [Antennes en L2] - [SWITCH] - [Antennes en L2]

  1. [EQUIPEMENT avec VPN]
[Routeur du MAN de ce quartier]

On propose que ce routeur attribue des adresses IP privée (NAT) aux équipements présents sur le L2, sauf qu'une règle parefeu empêcherais de se connecter à autre chose que vpn.arn-fai.net. Ainsi, on force les utilisateurs du MAN qui souhaitent accéder à internet par ce biais à utiliser un VPN ARN. Avec cette règle parefeu on évite de devoir utiliser un VPN ARN chez la personne qui prête sa connexion et de devoir faire du VPN dans du VPN. Si besoin on peut s'arranger pour limiter le débit consommé par les abonnés ARN desservis par ce routeur, de façon à éviter qu'on bouffe toute la BP de Camille.

Choix du L2

Le L2 permet de faire comme si tout le monde était sur un même switch. Concrètement ça veux dire que tout le monde peut écouter tout le monde. L'avantage c'est que toutes les antennes peuvent avoir la même configuration (ou presque). Ce qui peut simplifier les dépannages, voir permettre au membres de rejoindre le MAN.

Equipement avec VPN

Chaque abonné aura un VPN inclus avec son abonnement qui lui permettra d'obtenir IPV4/IPV6 et de sécuriser sa connexion. Des sessions pour construire des VPN Box pourront avoir lieux (par exemple pendant les ateliers Décentralisez vos usages) - d'une certaines façon une brique est une sorte de VPN Box , mais le matériel serait sans doute à changer. On pourrait aussi préférer conseiller un routeur POE afin de le brancher à l'antenne (une prise électrique au lieu de 2).

Avantage de ce setup:
  • Le réseau de Camille est isolé (les abonnés ne peuvent pas voir ce qui passe sur son réseau)
  • Chacun peut avoir accès au setup de son antenne (on ne réduit pas à un petit groupe le nombre de personne pouvant intervenir pour régler un soucis et on permet à tout le monde de pouvoir monter en compétence)
  • Tant que le chiffrement est bon, les communications des abonné-e-s ne peuvent pas être écoutées (sauf utilisateurs root chez ARN + boîte noir chez les transitaires ARN)
  • En terme d'équipement il s'agit du prix minimum faisable (le routeur du quartier n'est pas obligé d'être optimisé pour le chiffrement, un abonné peut décider de mettre le VPN sur son ordinateur et utiliser une antenne usb pour diffuser à ces amis)
  • On peut proposer de se connecter au réseau de quartier local sans prendre de l'internet (MAN Party ?)
  • Le débit n'est pas limité en mettant le VPN sur l'antenne (plus exactement le débit sera limité par l'équipement choisi par l'abonné)
Inconvénients
  • Les échanges sur le MAN ne sont pas sécurisés
  • En imaginant que ce réseau de quartier soit plus étendu, ce serait peut être bête que toutes les antennes répètent chaque communication, même celles qui ne sont pas dans le même “domaine de diffusion” . Dans ce cas on pourra sans doute “couper” ce L2 à base de plusieurs L3 au niveau des points de relais. On y est pas encore…
  • Ce setup est adapté pour une structure en arbre et pas vraiment pour un graphe (lien redondant etc.)
Questions encore en suspens à résoudre:
  • Est-ce risqué de faire passer 5/10/15 VPN côte à côte sur une box commerciale ? devrait on encapsuler le tout dans un seul VPN ?
  • AirOS ou openWRT ? un mix est il possible ? = choix du protocole de communication airMax ou wifi standard en 5GHz ? WDS ?
  • Peut on coupler un access point en face d'un autre de façon à créer de la redondance ? A quel condition (cf choix du protocole) ?
  • Aspect légale concernant un MAN ouvert (ou protégé par un mot de passe connu)
  • Quels routeur conseiller pour le VPN ? Mise en place d'atelier pour créer des VPN Box ? Mesure du VPN sur une Lime2, sur un routeur etc…
  • Faut il mettre un mot de passe commun sur les antennes OU utiliser un radius pour que le mot de passe WPA2 soit différents pour chaque personne (et donc chaque antenne… ce qui nous arrange pas) ?
  • Comment configurer l'antenne en bout de réseau sans se déplacer ?
Ressources
  • Conf sur le réseau Rézine https://media.ffdn.org/AG/2017/ (Eux ils ont backbone avec des Access point et utilise OSPF pour acheminer les ip en faisant du routage dynamique

https://wiki.scani.fr/index.php/Param%C3%A9trage_d%27une_antenne_UBNT_relais https://www.ffdn.org/wiki/doku.php?id=documentation:infrastructure:exemple_sames https://doc.rhizome-fai.net/doku.php?id=technique:box_anonymes https://doc.rhizome-fai.net/doku.php?id=technique:scripts_config

  • Matos

Les NBE 5 AC 16 semblent des bonnes concurentes des LOCO M5

Debriquage de l'antenne

Une des 2 antennes ne ping pas, un transfert via tftp a été tenté sans trop de succès. [TODO Aleks peux tu détailler ce que ça faisait ?]

Réinstallation du second serveur (au datacenter cogent: Jambo, johndescs)

Voilà, on a un système Debian 9 Stretch sur l'IBM, qui fonctionne ! \o/ On a passé 4h au datacenter avec Jambo hier soir avec, comme toujours, un tas de problèmes qu'on doit contourner au fur et à mesure, mais tout à coup ça a booté. On a ensuite pu installer SSH et un minimum de configuration réseau pour pouvoir se connecter à distance.

Détails : Le plus gros problème a été d'installer le gestionnaire d'amorçage (bootloader, ici GRUB). Avec notre configuration (UEFI et table de partition GPT), on doit soit avoir une partition EFI (boot normal EFI) soit passer en legacy (boot BIOS/MBR) mais, là aussi, à cause du GPT, on doit avoir une (plus petite) partition pour GRUB. Sauf que le debian-installer n'a pas voulu nous laisser faire une partition aussi petite que sur l'autre machine (l'idée était de faire totalement symétrique). Et l'outil de l'installer disponible en ligne de commande ne supporte pas le type de partition nécessaire pour GRUB. Il a donc fallu installer gdisk à la main après installation, en chroot depuis le debian-installer. Et une fois la partition pour GRUB créée, basculer de GRUB-efi à GRUB-pc pour repartir en mode boot BIOS comme c'est le cas sur l'autre machine.

Une fois l'OS démarré, l'installation étant basée sur une netinst, le système est vraiment minimal. Pour l'instant on a juste installé OpenSSH. Pour installer les paquets, on a configuré le lien interne entre les deux machines, puis mis l'IP publique de la machine sur la même interface. Avec une route par défaut et la route qui va bien sur l'autre machine, on a donc du vrai net dessus (mais donc on peut s'en prendre plein la tronche). Seule la configuration du lien interne est “en dur” dans les confs. On a aussi renommé les interface “comme avant” eth0/eth1 au lieu des noms reproductibles modernes.

Actuellement on peut donc se connecter, via l'autre machine, au système tout frais. La prochaine étape est probablement de relancer le routage, donc Quagga, en partant des configuration des backup et de la doc en ligne dispo ici :http://gitlab.netlib.re/arn/arn-confs/tree/master/routing/bgp/Quagga

Il y a aussi le 5e SSD de spare à reconfigurer, car on a fait l'installation sans, pour être sûrs de prendre les 4 nouveau pour le RAID en temps normal.

Côté ganeti, il y a un backport pour Jessie de la version de Stretch, donc on peut éventuellement l'utiliser avant de faire l'upgrade. À voir si ça passe niveau DRBD…

Et après ça on a même encore pu aller manger avec les autres et parler de physique quantique :P

cr/reunions_diverses/mardi/27_juin/2017.txt · Dernière modification: 2017/08/07 20:25 par lg